JVNDB-2021-000030 日本電気株式会社が提供する Aterm WF1200CR、Aterm WG1200CR、Aterm WG2600HS および Aterm WX3000HP には、複数の脆弱性が存在します。 Aterm WF1200CR、Aterm WG1200CR および Aterm WG2600HS ・OS コマンドインジェクション (CWE-78) - CVE-2021-20708 ・ダウンロードしたファイルの完全性検証不備 (CWE-354) - CVE-2021-20709 Aterm WG2600HS ・クロスサイトスクリプティング (CWE-79) - CVE-2021-20710 ・OS コマンドインジェクション (CWE-78) - CVE-2021-20711 Aterm WG2600HS および WX3000HP ・アクセス制限不備 (CWE-284) - CVE-2021-20712 CVE-2021-20708、CVE-2021-20709 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 塚本 泰三 氏 CVE-2021-20710、CVE-2021-20711 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社サイバーディフェンス研究所 永岡 悟 氏 CVE-2021-20712 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 加藤 吉光 氏 日本電気 Aterm WF1200CR ファームウェア cpe:/o:nec:aterm_wf1200cr_firmware Ver1.3.2 およびそれ以前 日本電気 Aterm WG1200CR ファームウェア cpe:/o:nec:aterm_wg1200cr_firmware Ver1.3.3 およびそれ以前 日本電気 Aterm WG2600HS ファームウェア cpe:/o:nec:aterm_wg2600hs_firmware ファームウェア Ver1.5.1 およびそれ以前 日本電気 Aterm WX3000HP ファームウェア cpe:/o:nec:aterm_wx3000hp_firmware Ver1.1.2 およびそれ以前 High 8.3 AV:A/AC:L/Au:N/C:C/I:C/A:C High 8.8 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 ・当該製品の管理ページにログインしている状態で、特定の URL に対して細工されたリクエストを送信することで任意のコマンドを実行される - CVE-2021-20708 ・当該製品の管理ページにログインしている状態で、細工された設定ファイルを読み込ませることで任意のコマンドを実行される - CVE-2021-20709 ・当該製品にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2021-20710 ・当該製品の管理ページにアクセスした攻撃者によって、任意のコマンドを実行される - CVE-2021-20711 ・IPv6 ファイアウォールの機能に不具合があり、LAN 側に接続された機器が WAN などの外部ネットワーク上からアクセスされる - CVE-2021-20712 [アップデートする] 開発者が提供する情報をもとにファームウェアを最新版へアップデートしてください。 NEC WF1200CR・WG1200CR・WG2600HS・WX3000HPにおけるセキュリティ向上について https://www.aterm.jp/support/tech/2021/0324.html NEC製品セキュリティ情報 Aterm WF1200CR、WG1200CR、WG2600HS、WX3000HPにおける複数の脆弱性 https://jpn.nec.com/security-info/secinfo/nv21-010.html Common Vulnerabilities and Exposures (CVE) CVE-2021-20708 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20708 Common Vulnerabilities and Exposures (CVE) CVE-2021-20709 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20709 Common Vulnerabilities and Exposures (CVE) CVE-2021-20710 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20710 Common Vulnerabilities and Exposures (CVE) CVE-2021-20711 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20711 Common Vulnerabilities and Exposures (CVE) CVE-2021-20712 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20712 JVN JVN#29739718 https://jvn.jp/jp/JVN29739718/index.html National Vulnerability Database (NVD) CVE-2021-20710 https://nvd.nist.gov/vuln/detail/CVE-2021-20710 National Vulnerability Database (NVD) CVE-2021-20711 https://nvd.nist.gov/vuln/detail/CVE-2021-20711 National Vulnerability Database (NVD) CVE-2021-20712 https://nvd.nist.gov/vuln/detail/CVE-2021-20712 National Vulnerability Database (NVD) CVE-2021-20708 https://nvd.nist.gov/vuln/detail/CVE-2021-20708 National Vulnerability Database (NVD) CVE-2021-20709 https://nvd.nist.gov/vuln/detail/CVE-2021-20709 JVNDB CWE-78 https://jvndb.jvn.jp/ja/cwe/CWE-78.html JVNDB CWE-79 https://jvndb.jvn.jp/ja/cwe/CWE-79.html JVNDB CWE-284 https://cwe.mitre.org/data/definitions/284.html JVNDB CWE-20 https://jvndb.jvn.jp/ja/cwe/CWE-20.html 1 2021-04-06T17:54:34+09:00 [2021年04月09日]\n 掲載 2021-04-09T14:21:33+09:00 2021-04-09T14:21:33+09:00 2021-04-09T00:00:00+09:00